CVE-2023-4966, alias « Citrix Bleed », une vulnérabilité critique de divulgation d’informations affectant les dispositifs ADC/Gateway de Citrix NetScaler, est massivement exploitée par des attaquants modernes.
Les attaquants modernes n’ont pas hésité à exploiter les vulnérabilités de Citrix NetScaler ADC par le passé, et cette vulnérabilité ne fait évidemment pas exception.
CVE-2023-4966 est une vulnérabilité facilement exploitable à distance qui permet aux attaquants de récupérer des jetons de session valides dans la mémoire des dispositifs Netscaler vulnérables orientés vers l’internet.
Une semaine plus tard, les chercheurs de Mandiant ont révélé que la vulnérabilité a été exploitée en tant que zero day par des attaquants depuis fin août 2023, pour attaquer des organisations de services professionnels, de technologie et de gouvernement.
Mandiant a souligné qu’il ne suffit pas de mettre à jour les appareils vulnérables pour que les attaquants en sortent. Il a conseillé aux administrateurs de mettre fin à toutes les sessions actives et de vérifier si les attaquants ont laissé des shells ou des portes dérobées sur le web.
« En raison de l’absence de journaux disponibles ou d’autres artefacts de l’activité d’exploitation, les organisations devraient, par mesure de précaution, envisager la rotation des informations d’identification pour les identités qui ont été provisionnées pour accéder aux ressources via une appliance NetScaler ADC ou Gateway vulnérable », ont noté les chercheurs de Mandiant.
